СоХабр закрыт.

С 13.05.2019 изменения постов больше не отслеживаются, и новые посты не сохраняются.

H Решение проблемы Авторизации и Завершения сеанса с HTTP Authentication: Basic, PHP, Joomla, Apache в черновиках Из песочницы

Apache, Joomla, PHP

Приветствую


Буквально вчера я решил приступить к разработке личного кабинете одного безымянного сайта. Передо мной встал вопрос по поводу внешнего вида формы авторизации, мне, откровенно, не хотелось заниматься дизайном формы, делать всплывающие подсказки, да и в целом уделять огромное внимание форме. Я сдуру ринулся искать готовые решения, увидел достаточно безвкусных форм. Думал подыскать какой-нибудь готовый компонент, готовое расширение, но в большинстве своём они разочаровали меня. Блуждая по форумам, мне показалось интересным разыграть карту с HTTP Authentication: Basic. Я отправился читать мануал, прежде был недостаточно осведомлён об данном способе. Далее и начались проблемы.

Деваться было некуда, пошастал по сети в поисках сайтов, что возьмутся генерировать формы, код, стили. Тщетны оказались мои попытки облегчить себе задачу. Выход невелик, я приступил к разрешению проблемы. Одно время я старался сварганить решение с помощью .htaccess, нашел такое.

RewriteCond %{HTTP:Authorization} ^Basic.*
RewriteRule (.*) index.php?authorization=%{HTTP:Authorization} [QSA,L]


Увы, у меня возникли проблемы с Joomla, у неё и так всё неплохо в .htaccess, а тут я еще со своим кодом. Уделив время на перебор различных комбинаций, я согласился с тем, что переписывать .htaccess я не буду. С начала код был очень сырым, настолько сырым, что я только-только его скопипастил.

<?php
	if (!isset($_SERVER['PHP_AUTH_USER'])) {
		header('WWW-Authenticate: Basic realm="My Realm"');
		header('HTTP/1.0 401 Unauthorized');
		echo 'Текст, отправляемый в том случае, если пользователь нажал кнопку Cancel';
		exit;
	} else {
		echo "<p>Hello {$_SERVER['PHP_AUTH_USER']}.</p>";
		echo "<p>Вы ввели пароль {$_SERVER['PHP_AUTH_PW']}.</p>";
	}
?>


Замечательно работает, а передо мной стояла цель реализовать авторизацию с помощью использования уже существующих кодовых слов, что расположены в таблице.

<?php
$session = JFactory::getSession();
	if(!isset($_SERVER['PHP_AUTH_PW'])) {
		header('WWW-Authenticate: Basic realm="My Realm"');
		header('HTTP/1.0 401 Unauthorized');
	} else {
		//В случае с обнаружением подходящего codeword - создаём сессию
		if($session->get('user') === null) {
			$db = JFactory::getDbo();
			$query = $db->getQuery(true);
			$query->select('*');
			$query->from('#__beda_users');
			$query->where('codeword = '.$query->quote($_SERVER['PHP_AUTH_PW']));
			if($res = $db->setQuery($query)->loadAssoc()) {
				$session->set('user', $res);
			} else {
				header('WWW-Authenticate: Basic realm="My Realm"');
				header('HTTP/1.0 401 Unauthorized');
			}
		} else {
			//Нам бы сюда
		}
	}
?>


Работает, значения меняются, сессия создаётся. Замечательно, но в случае с кликом на отмену, значения $_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW'] плевать хотели, что ты отменил, после обновления страницы, возвращаются на место. Я решил, что бороться следует с этим через unset. Я добавил строчку.

if($res = $db->setQuery($query)->loadAssoc()) {
	$session->set('user', $res);
} else {
	unset($_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW']);
	header('WWW-Authenticate: Basic realm="My Realm"');
	header('HTTP/1.0 401 Unauthorized');
}


Я старался совладать с этими переменными, но всё глубже уходил в никуда. Устраивал и проверку существования сессии, но тщетно. К тому же мне требовалось сделать завершение сессии, что с слов форумчан мало представляется возможным. Докопался до истины использования адреса вида login:pass@locahost/. Замечательно, переменные изменились $_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW']. Увы, но это не стало моим окончательным решением, поскольку после окончания времени сессии $_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW'] продолжали исполнять. Как и после принудительно присваивания $session->set('user', null). Я вне себя от гнева, но знал, что не прощу себе, если позволю отступиться. Я написал отдельное условие для проверки на логаут.

if($_SERVER['PHP_AUTH_USER']=='logout'){
	$session->set('user', null);
	header('Refresh: 0;URL=');
}
if(!isset($_SERVER['PHP_AUTH_PW'])) {
	header('WWW-Authenticate: Basic realm="My Realm"');
	header('HTTP/1.0 401 Unauthorized');
} else {
	//В случае с обнаружением подходящего codeword - создаём сессию
	if($session->get('user') === null) {
		$db = JFactory::getDbo();
		$query = $db->getQuery(true);
		$query->select('*');
		$query->from('#__beda_users');
		$query->where('codeword = '.$query->quote($_SERVER['PHP_AUTH_PW']));
		if($res = $db->setQuery($query)->loadAssoc()) {
			$session->set('user', $res);
		} else {
			unset($_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW']);
			header('WWW-Authenticate: Basic realm="My Realm"');
			header('HTTP/1.0 401 Unauthorized');
		}
	} else {
		//Нам бы сюда
	}
}


Условие сработало, однако после перезагрузки страницы, когда появляется окно с требованием ввести имя пользователя и пароль, оно их приняло, да после обновление страницы, он предложил мне еще раз ввести пароль, нажму «Отмена», $_SERVER['PHP_AUTH_USER'] будет logout. Обновлю значения, он присвоит их. А нажму на отмену от вернёт прежние значения. Беда.

В конце концов окончательное решение выглядит так.

$session = JFactory::getSession();
function http_auth($session){
	$session->set('user', null);
	unset($_SERVER['PHP_AUTH_PW'],  $_SERVER['PHP_AUTH_USER']);
	header('WWW-Authenticate: Basic realm="Auth"');
	header('HTTP/1.0 401 Unauthorized');
}
if($_SERVER['PHP_AUTH_USER']=='logout'){
	$session->set('user', null);
	header('Refresh: 0;URL=');
}
if($session->get('user') === null){
	if(!isset($_SERVER['PHP_AUTH_PW'])){
		http_auth($session);
	} else {
		$pw = $_SERVER['PHP_AUTH_PW'];
		$db = JFactory::getDbo();
		$query = $db->getQuery(true);
		$query->select('*');
		$query->from('#__beda_users');
		$query->where('codeword = '.$query->quote($pw));
		if($res = $db->setQuery($query)->loadAssoc()){
			$session->set('user', $res);
		} else {
			http_auth($session);
		}
	}
} else {
	if(!isset($_SERVER['PHP_AUTH_PW'])){
		http_auth($session);
	}
}


На звание правильного, красивого, читабельного кода не претендую, это работает, а после можно уже и почистить.
Первые пример.
http://www.php.net/manual/ru/features.http-auth.php
php, проблема, .htaccess, joomla 3.0, HTTP Authentication: Basic, Apache, авторизация, форма авторизации
  Suffer

комментарии (7)

0
Fesor ,  

вы серьезно?

0
Suffer ,  

А почему нет?

0
youlose ,  

ещё одна проблема к тем что я указал ниже: как пользователь будет восстанавливать пароль если забудет?

0
Suffer ,  

Заказчик обговорил со мной об одной лишь авторизации, без права на восстановление пароля, пароль будет известен уже, возможно, через личные встречи, письма, походы в рестораны.

0
youlose ,   * (был изменён)

-

0
youlose ,   * (был изменён)

грёбанный хабр нельзя комментарий удалить… таки напишу:
плохая затея с такой аутентификацией, потому что:
1. нельзя будет сделать во всех браузерах работающего и однообразного logout
2. нельзя управлять временем жизни сессии

0
Suffer ,   * (был изменён)

Cпешу оспорить, первый пункт: не могу быть уверенным за все браузеры, потому что я смотрел через Opera (18.0.1284.68), по поводу однообразия солидарен с вами, однако, о том каким образом будет отображаться всплывающее окно авторизации зависит от браузера, опрятный у Opera меня устроил.

нельзя управлять временем жизни сессии
Второй пункт: поскольку у Joomla можно регулировать глобальное время жизни сессии через Site->Global Configuration->System., так же в примере можно изменить $session, на привычный.

session_start();

// 10 mins in seconds
$inactive = 600; 

$session_life = time() - $_session['timeout'];

if($session_life > $inactive)
{  session_destroy(); header("Location: logoutpage.php");     }

S_session['timeout']=time();


Такое решение тоже имеет право на жизнь, а решения я искал для Joomla. Для свободно php кода, пожалуйста.

Пример стащил с http://stackoverflow.com/questions/9049890/php-destroy-session-if-not-any-action-in-10-minutes